瑞星卡卡安全论坛

这回我的笔记本麻烦来了，这次中的毒好象不在硬盘上，

我曾经长时间使用瑞星以前也经常在这里向高手们求教，今年好奇装上了卡巴斯基，现在又遇到了以前从未遇到的麻烦。

首先，我启动进入系统（我的XP安装在C盘）,我的卡巴斯基杀毒软件就会提示我有病毒（木马），然后就是杀毒软件查杀病毒（如图）然后杀毒软件提示我需要重启系统才能杀掉病毒。但重启后病毒依旧还在。还有就是我系统的时间会自动被更改到2005年，连BIOS的时间也同样被更改，任凭我怎么修改也无济于事。

我起先采取的措施是先杀毒，但没有什么用。然后我就在XP系统中格式化系统盘（也就是C盘）以外的所有盘，然后用DOS格式化C盘，后重装系统，但病毒依旧存在。

没有办法，我只有将我笔记本电脑中的硬盘拆下，装在我的移动硬盘中，拿到别的电脑中用金山杀毒，格式化，然后分区，然后我只留下C盘的分区，其他的都没有分，我准备等我的新系统装好后再进行分区，我想这回该干净了吧，
我把硬盘装回本本中，先用DOS格式化C盘（这时我的电脑只有C盘，其他的空间尚未分区），然后装上我的随机赠送的恢复盘，装好后上网升级系统，同时安装卡巴斯基，然后升级，起初一切顺利，系统和BIOS的时间均未被改变，但当我又上网打开一些网页后，问题又出现了，先是时间被窜改，然后又是卡巴斯基提示有病毒（木马）如图所示。

我的猜测（和线索）：

1、我现在想，病毒该不会是串入了电脑的内存和BIOS中了吧(但又不象是CIH病毒，因为电脑不黑屏、不死机，只是系统及BIOS时间被修改，查出一堆木马和需要重新启动）？

2、我现在删除了卡巴斯基杀毒软件后，任凭我怎么重启电脑，时间已不会改变了，是不是卡巴斯基的问题吧，这个光碟版的我大概安装了三台电脑，该不会是有这方面的限制而出问题吧？

3、我的电脑前一段时间就发现一个硬件问题，就是每当我将电脑的电源拔掉同时也取下电池时，电脑的时间就回到2005年，我当时想是否是主板的电池用完了。

这该怎么办啊，斑竹和DX们，救救我的电脑吧。我该怎么办啊。


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)


附件: 6090372007112525345.bmp

看图片......

附件: 6090372007112525902.bmp

继续......

附件: 6090372007112530213.jpg

继续上图..

附件: 6090372007112530510.bmp

.......

附件: 6090372007112530555.jpg

现在我已经删除了《卡巴斯基》，系统和BIOS的时间设置又正常了（不会再被修改了）

[CODE]

2007-11-25,02:37:26

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows XP Home Edition Service Pack 1 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows XP Publisher]
    <PHIME2002ASync><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Windows XP Publisher]
    <PHIME2002A><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Windows XP Publisher]
    <ATIModeChange><Ati2mdxx.exe>  [(Verified)Microsoft Windows XP Publisher]
    <ATIPTA><C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe>  [ATI Technologies, Inc.]
    <AGRSMMSG><AGRSMMSG.exe>  [(Verified)Microsoft Windows XP Publisher]
    <LtMoh><C:\Program Files\ltmoh\Ltmoh.exe>  [Agere Systems]
    <SynTPLpr><C:\Program Files\Synaptics\SynTP\SynTPLpr.exe>  [(Verified)Microsoft Windows XP Publisher]
    <SynTPEnh><C:\Program Files\Synaptics\SynTP\SynTPEnh.exe>  [(Verified)Microsoft Windows XP Publisher]
    <SENS Keyboard V4 Launcher><"C:\Program Files\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE">  [SAMSUNG Electronics Co., Ltd.]
    <GenProtect><C:\WINDOWS\GenProtect.exe>  []
    <Kvsc3><C:\WINDOWS\Kvsc3.exE>  []
    <AVPSrv><C:\WINDOWS\AVPSrv.exE>  []
    <mppds><C:\WINDOWS\mppds.exe>  []
    <NVDispDrv><C:\WINDOWS\NVDispDRV.EXE>  []
    <MsPrint32D><C:\WINDOWS\MsPrint32D.exe>  []
    <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>  []
    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []
    <upxdnd><C:\WINDOWS\upxdnd.exe>  []
    <WinSysM><C:\WINDOWS\215366M.exe>  [N/A]
    <msccrt><C:\WINDOWS\msccrt.exe>  []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exE>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows XP Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    <Microsoft Windows Media Player 6.4><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{306D6C21-C1B6-4629-986C-E59E1875B8AF}]
    <N/A><"C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUser>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player 8><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub>  [(Verified)Microsoft Windows XP Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]

==================================
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\李剑\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>

==================================
服务
[3035E902 / 3035E902][Stopped/Auto Start]
  <C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation>
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\System32\Ati2evxx.exe><>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

==================================
驱动程序
[SENS LT56ADW Modem / AgereSoftModem][Running/Manual Start]
  <System32\DRIVERS\AGRSM.sys><Agere Systems>
[ati2mtag / ati2mtag][Running/Manual Start]
  <System32\DRIVERS\ati2mtag.sys><ATI Technologies Inc.>
[Cirrus Logic WDM Audio Codec Driver / cs429x][Running/Manual Start]
  <system32\drivers\cwawdm.sys><Cirrus Logic, Inc.>
[Intel(R) PRO Adapter Driver / E100B][Running/Manual Start]
  <System32\DRIVERS\e100b325.sys><Intel Corporation>
[Padus ASPI Shell / pfc][Running/Manual Start]
  <system32\drivers\pfc.sys><Padus, Inc.>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Secdrv / Secdrv][Stopped/Manual Start]
  <System32\DRIVERS\secdrv.sys><N/A>
[Synaptics TouchPad Driver / SynTP][Running/Manual Start]
  <System32\DRIVERS\SynTP.sys><Synaptics, Inc.>

==================================
浏览器加载项
[@shdoclc.dll,-866]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[电台(&R)]
  {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation>
[WUWebControl Class]
  {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\System32\wuweb.dll, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\System32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>

==================================
正在运行的进程
[PID: 564 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 660 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
    [C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 704 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\LYMANGR.DLL]  [N/A, ]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 716 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 884 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 984 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\wups2.dll]  [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)]
[PID: 1200 / NETWORK SERVICE][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 1232 / LOCAL SERVICE][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 1420 / 李剑][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2800.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\msccrt.dll]  [N/A, ]
    [C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
    [C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\MsPrint32D.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\215366MM.DLL]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
[PID: 1508 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 1748 / 李剑][C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe]  [ATI Technologies, Inc., 6.14.10.4035]
    [C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATRPUIXX.CHS]  [ATI Technologies, Inc., 6.14.10.4035]
    [C:\Program Files\ATI Technologies\ATI Control Panel\atipdsxx.dll]  [ATI Technologies, Inc., 6.14.10.4035]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]

[PID: 1756 / 李剑][C:\WINDOWS\AGRSMMSG.exe]  [Agere Systems, 2.1.18 2.1.18 09/11/2002 17:23:56]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
[PID: 1780 / 李剑][C:\Program Files\ltmoh\Ltmoh.exe]  [Agere Systems, 1.65A]
    [C:\Program Files\ltmoh\MOHAPI.dll]  [Agere Systems, 1.65]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
[PID: 1788 / 李剑][C:\Program Files\Synaptics\SynTP\SynTPLpr.exe]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
[PID: 1796 / 李剑][C:\Program Files\Synaptics\SynTP\SynTPEnh.exe]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\SynTPAPI.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
[PID: 1808 / 李剑][C:\Program Files\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE]  [SAMSUNG Electronics Co., Ltd., 1, 0, 1, 3]
    [C:\Program Files\SAMSUNG\SENS Keyboard V4 Launcher\KbdHook.dll]  [N/A, ]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
[PID: 1980 / 李剑][C:\WINDOWS\System32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
[PID: 432 / SYSTEM][C:\WINDOWS\System32\Ati2evxx.exe]  [, ]
    [C:\WINDOWS\System32\82393EFE.DLL]  [Microsoft Corporation, ]
[PID: 1220 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 2184 / 李剑][D:\Sreng日志sreng2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
    [C:\WINDOWS\System32\SynTPFcs.dll]  [Synaptics, Inc., 7.2.9 03Jan03]
    [C:\WINDOWS\System32\yoovzz.dll]  [N/A, ]
    [C:\WINDOWS\System32\LotusHlp.dll]  [N/A, ]
    [C:\WINDOWS\System32\upxdnd.dll]  [N/A, ]
    [C:\WINDOWS\System32\sdjloe.dll]  [N/A, ]
    [C:\WINDOWS\System32\NVDispDrv.dll]  [N/A, ]
    [C:\WINDOWS\System32\DbgHlp32.dll]  [N/A, ]
    [C:\WINDOWS\System32\mppds.dll]  [N/A, ]
    [C:\WINDOWS\System32\pxqjmr.dll]  [N/A, ]
    [C:\WINDOWS\System32\Kvsc3.dll]  [N/A, ]
    [C:\WINDOWS\System32\GenProtect.dll]  [N/A, ]
    [C:\WINDOWS\System32\MsPrint32D.dll]  [N/A, ]
    [C:\WINDOWS\System32\msccrt.dll]  [N/A, ]
    [D:\Sreng日志sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
进程特权扫描
特殊特权被允许： SeLoadDriverPrivilege [PID = 1748, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1780, C:\PROGRAM FILES\LTMOH\LTMOH.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 1808, C:\PROGRAM FILES\SAMSUNG\SENS KEYBOARD V4 LAUNCHER\SENSKBD.EXE]

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]

在这里先谢谢大家的多次帮助了,谢谢!

1、    下载并安装XDelBox ：

(http://www.i170.com/Attach/51FD704F-C0BD-41E7-B0E9-60673A888FD6)

使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。



用XDelBox删除以下文件：

C:\WINDOWS\winform.exe

C:\WINDOWS\mppds.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe

C:\WINDOWS\cmdbs.exe

C:\WINDOWS\testexe.exe

C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\shualai.exe

C:\WINDOWS\cmdbcs.exe

C:\WINDOWS\system32\servet.exe

C:\WINDOWS\system32\nwizAsktao.dll

C:\WINDOWS\system32\mppds.dll

C:\WINDOWS\system32\cmdbs.dll

C:\WINDOWS\system32\winform.dll

C:\WINDOWS\system32\testdll.dll

C:\WINDOWS\system32\Kvsc3.dll

C:\WINDOWS\system32\cmdbcs.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll

C:\WINDOWS\system32\shualai.dll



2、    搜索LYLoader.exe并删除。



3、运行SRENG--->启动项目--->注册表--->删除以下注册表：

<winform><C:\WINDOWS\winform.exe>  []

    <mppds><C:\WINDOWS\mppds.exe>  []

    <upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe>  []

    <cmdbs><C:\WINDOWS\cmdbs.exe>  []

    <testrun><C:\WINDOWS\testexe.exe>  []

    <Kvsc3><C:\WINDOWS\Kvsc3.exe>  []

    <shualai><C:\WINDOWS\shualai.exe /i>  []

    <cmdbcs><C:\WINDOWS\cmdbcs.exe>  []

<MSDEG32    ><LYLoader.exe>  []



4、删除下面的服务（运行SRENG--->启动项目--->服务--->win32服务应用程序--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择否，确认删除）：

Windows_SystemDown / WindowsDown][Stopped/Auto Start]

  <C:\WINDOWS\system32\servet.exe><N/A>







XDELBOX  下载地址：http://forum.ikaka.com/topic.asp?board=28&artid=8381032

看看搞完上面的再发一次。这次以附件形式发。。把文件改成TXT结尾的。。

2006-11-17 10:11
这个木马伪装成ATi显卡服务，有点可恶！生成文件：
如果系统在C盘就是
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe
并创建注册表服务项

清除方法
==========
1.右击任务栏打开任务管理器，结束ati2evxx.exe进程
（注：如果你的显卡是ATi的，用户名是SYSTEM的ati2evxx.exe进程是正常的，而你登入的用户名或是Administrator的ati2evxx.exe进程才是木马进程）

2. 删除病毒文件：
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe

3. 删除注册表服务项：
运行regedit打开注册表，用寻找ati2evxx.exe的方法来删除，如果你的显卡是ATi的注意路径是
C:\Program Files\Common Files\ati2evxx.exe
C:\Program Files\Common Files\ATi\ati2evxx.exe

不要把正常的给删除了，不过要是删错的话，清完毒后，重装一下ATi的显卡驱动也可以

From http://zhidao.baidu.com/question/27510661.html
崔老师，您好！最近遇到oduxyym.exe和veckdld.exe病毒，目前根据一些网友已经解决部分问题，但还是没有彻底清楚，之前防火墙和杀毒软件根本就没办法启动，重启机子时间退到1980年；现在这两个进程已经解决，启动机子该时间后VirusScan杀毒软件提示病毒C:\WINDOWS\System32\AVPSrv.dll，用XDelBox都无法删除，且不能关闭，将自动弹出，实在没办法只能麻烦崔老师帮忙了，谢谢！辛苦了：）
问题补充：安全模式下最新日志地址
http://hi.baidu.com/think%5Fzt/blog/item/9f487060f2045645ebf8f8c2.html
http://hi.baidu.com/think%5Fzt/blog/item/8cb1fc11afd7a7c7a7ef3fc2.html


具体问题具体分析。请勿随意对号入座。如下是根据你的日志的分析结果

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

关闭QQ等应用程序。

2.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
下载地址: http://post.baidu.com/f?kz=158203765
【删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】
【友情提醒1：有找不到提示的，请一个文件一个文件的输入“文件路径”中，不存在的忽略即可】
【友情提醒2：重要！ 不管您以前有无下载过XDELBOX,请按我的链接下载最新的1.2版！以防系统崩溃。】
【友情提醒3：单个文件导入的时候可以考虑勾选“抑制文件再生”（删除文件后生成一个同名的文件夹）相当于一定程度的免疫】
c:\windows\system32\15.dll
c:\program files\common files\microsoft shared\msinfo\syswfgqq2.dll
c:\windows\kvsc3.exe
c:\windows\msccrt.exe
c:\windows\msimms32.exe
c:\windows\avpsrv.exe
c:\windows\upxdnd.exe
c:\windows\mppds.exe
c:\windows\cmdbcs.exe
c:\windows\wsvbrs.exe
c:\docume~1\zt\locals~1\temp\c0nime.exe
c:\windows\system32\.exe
c:\windows\system32\4621a5c4.exe
c:\windows\system32\b74ea9de.exe
c:\docume~1\zt\locals~1\temp\ravwm.exe

3. 重启计算机后，用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】
【打开SREng后提醒“警告！下面的函数内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，是你装杀软后的正常修改。】

==================================
启动项目 -->注册表 的如下项删除
[{C54C4AFB-8A2A-6C1E-BA41-C20F02940401}] <C:\WINDOWS\System32\15.dll>
[{91B1E846-2BEF-4345-8848-7699C7C9935F}] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>
[Kvsc3] <C:\WINDOWS\Kvsc3.exe>
[msccrt] <C:\WINDOWS\msccrt.exe>
[MsIMMs32] <C:\WINDOWS\MsIMMs32.exe>
[AVPSrv] <C:\WINDOWS\AVPSrv.exe>
[upxdnd] <C:\WINDOWS\upxdnd.exe>
[mppds] <C:\WINDOWS\mppds.exe>
[cmdbcs] <C:\WINDOWS\cmdbcs.exe>
[WSVBRS] <C:\WINDOWS\WSVBRS.exe>
[ityhwtx27] <C:\DOCUME~1\ZT\LOCALS~1\Temp\c0nime.exe>
[] <C:\WINDOWS\System32\.exe>

启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[838D1C06 / 838D1C06] <C:\WINDOWS\System32\4621A5C4.EXE -k>
[9405C222 / 9405C222] <C:\WINDOWS\System32\B74EA9DE.EXE -d>
[WinWMServiceNow / WinWMServiceNow] <C:\DOCUME~1\ZT\LOCALS~1\Temp\RAVWM.EXE>

最后用 下文推荐的工具清理（WINDOWS清理助手或者超级兔子） 把能检测到的全选后点清理（删除）参考
http://post.baidu.com/f?kz=149133630

注意修改QQ ，网络游戏等帐号密码等。切记切记！

。。。。。。。。感觉可以把机报废了。。最近比较出名跟流行的都有～

[3035E902 / 3035E902][Stopped/Auto Start]
<C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation>

C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
AUTO.EXE

是不是少了?

建议:
重新下载SRENG，存放在桌面解压运行(不要存到其他位置，否则使用此工具的过程可能又激活病毒）。
删除
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<GenProtect><C:\WINDOWS\GenProtect.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<mppds><C:\WINDOWS\mppds.exe> []
<NVDispDrv><C:\WINDOWS\NVDispDRV.EXE> []
<MsPrint32D><C:\WINDOWS\MsPrint32D.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<WinSysM><C:\WINDOWS\215366M.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
启动文件夹
[腾讯QQ]
<C:\Documents and Settings\李剑\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>
服务
[3035E902 / 3035E902][Stopped/Auto Start]
<C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation>
下载xdelbox.
删除
C:\WINDOWS\System32\82393EFE.DLL
C:\WINDOWS\System32\LYMANGR.DLL
C:\WINDOWS\System32\msccrt.dll
C:\WINDOWS\System32\GenProtect.dll
C:\WINDOWS\System32\Kvsc3.dll
C:\WINDOWS\System32\pxqjmr.dll
C:\WINDOWS\System32\mppds.dll
C:\WINDOWS\System32\DbgHlp32.dll
C:\WINDOWS\System32\NVDispDrv.dll
C:\WINDOWS\System32\MsPrint32D.dll
C:\WINDOWS\System32\sdjloe.dll
C:\WINDOWS\System32\upxdnd.dll
C:\WINDOWS\215366MM.DLL
C:\WINDOWS\System32\LotusHlp.dll
C:\WINDOWS\System32\yoovzz.dll
C:\WINDOWS\GenProtect.exe
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\mppds.exe
C:\WINDOWS\NVDispDRV.EXE
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\215366M.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\MsIMMs32.exE

运行WINRAR,使用WINRAR删除c,d,e盘的Autorun.inf
通过WINRAR查找下列文件，找到后删除
LYLoader.exe
LYLoadbr.exe
LYLeador.exe
LYLoador.exe
LYLoadar.exe
LYLoadmr.exe
LYLoadhr.exe
LYLoadqr.exe

xdelbox的下载及使用方法参看此帖http://forum.ikaka.com/topic.asp?board=28&artid=8391345
同时高度怀疑楼主的移动硬盘已经被感染，导致电脑格式化系统盘重装系统后重新被感染

引用:

【CAPTjoe的贴子】建议: 重新下载SRENG，存放在桌面解压运行(不要存到其他位置，否则使用此工具的过程可能又激活病毒）。 删除 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <GenProtect><C:\WINDOWS\GenProtect.exe> [] <Kvsc3><C:\WINDOWS\Kvsc3.exE> [] <AVPSrv><C:\WINDOWS\AVPSrv.exE> [] <mppds><C:\WINDOWS\mppds.exe> [] <NVDispDrv><C:\WINDOWS\NVDispDRV.EXE> [] <MsPrint32D><C:\WINDOWS\MsPrint32D.exe> [] <DbgHlp32><C:\WINDOWS\DbgHlp32.exe> [] <cmdbcs><C:\WINDOWS\cmdbcs.exe> [] <upxdnd><C:\WINDOWS\upxdnd.exe> [] <WinSysM><C:\WINDOWS\215366M.exe> [N/A] <msccrt><C:\WINDOWS\msccrt.exe> [] <LotusHlp><C:\WINDOWS\LotusHlp.exe> [] <MsIMMs32><C:\WINDOWS\MsIMMs32.exE> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <MSDEG32><LYLoader.exe> [] <MSDWG32><LYLoadbr.exe> [N/A] <MSDCG32 ><LYLeador.exe> [N/A] <MSDOG32><LYLoador.exe> [N/A] <MSDSG32><LYLoadar.exe> [N/A] <MSDMG32><LYLoadmr.exe> [N/A] <MSDHG32><LYLoadhr.exe> [N/A] <MSDQG32><LYLoadqr.exe> [N/A] 启动文件夹 [腾讯QQ] <C:\Documents and Settings\李剑\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N> 服务 [3035E902 / 3035E902][Stopped/Auto Start] <C:\WINDOWS\System32\49DE0844.EXE -k><Microsoft Corporation> 下载xdelbox. 删除 C:\WINDOWS\System32\82393EFE.DLL C:\WINDOWS\System32\LYMANGR.DLL C:\WINDOWS\System32\msccrt.dll C:\WINDOWS\System32\GenProtect.dll C:\WINDOWS\System32\Kvsc3.dll C:\WINDOWS\System32\pxqjmr.dll C:\WINDOWS\System32\mppds.dll C:\WINDOWS\System32\DbgHlp32.dll C:\WINDOWS\System32\NVDispDrv.dll C:\WINDOWS\System32\MsPrint32D.dll C:\WINDOWS\System32\sdjloe.dll C:\WINDOWS\System32\upxdnd.dll C:\WINDOWS\215366MM.DLL C:\WINDOWS\System32\LotusHlp.dll C:\WINDOWS\System32\yoovzz.dll C:\WINDOWS\GenProtect.exe C:\WINDOWS\Kvsc3.exE C:\WINDOWS\AVPSrv.exE C:\WINDOWS\mppds.exe C:\WINDOWS\NVDispDRV.EXE C:\WINDOWS\MsPrint32D.exe C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\upxdnd.exe C:\WINDOWS\215366M.exe C:\WINDOWS\msccrt.exe C:\WINDOWS\LotusHlp.exe C:\WINDOWS\MsIMMs32.exE 运行WINRAR,使用WINRAR删除c,d,e盘的Autorun.inf 通过WINRAR查找下列文件，找到后删除 LYLoader.exe LYLoadbr.exe LYLeador.exe LYLoador.exe LYLoadar.exe LYLoadmr.exe LYLoadhr.exe LYLoadqr.exe xdelbox的下载及使用方法参看此帖http://forum.ikaka.com/topic.asp?board=28&artid=8391345 同时高度怀疑楼主的移动硬盘已经被感染，导致电脑格式化系统盘重装系统后重新被感染 ………………

不用怀疑拉。。。完全是移动硬盘感染拉。。他都说分盘了之后还有哦。。这里是完全独立的三种病毒啊。。。。唉。。。。
做完都2点。。不愿意看。我都直接把这三种毒的解决方法复制过来了

非常感谢“已成过去”兄的热情帮助和耐心解答，你给我的短消息等会我会认真看的。

但有一点需要指出，我是将我笔记本上的硬盘拆下，装到我的移动硬盘盒中（移动硬盘盒该不会带毒吧？），然后再在别的“干净”的电脑中格式化，然后用金山杀毒，然后重新分区，但只分了C盘，其他盘待这个硬盘装到我的笔记本上装好系统后再分（这样就能确保这些空间在装好系统之前不会染毒），当我将硬盘装到笔记本后我继续在DOS下再次格式化C盘。

至此，我认为我的这个硬盘不再有可能有毒了，但兄又说我的移动硬盘有毒，这是何意？

引用:

【关山渡的贴子】非常感谢“已成过去”兄的热情帮助和耐心解答，你给我的短消息等会我会认真看的。 但有一点需要指出，我是将我笔记本上的硬盘拆下，装到我的移动硬盘盒中（移动硬盘盒该不会带毒吧？），然后再在别的“干净”的电脑中格式化，然后用金山杀毒，然后重新分区，但只分了C盘，其他盘待这个硬盘装到我的笔记本上装好系统后再分（这样就能确保这些空间在装好系统之前不会染毒），当我将硬盘装到笔记本后我继续在DOS下再次格式化C盘。 至此，我认为我的这个硬盘不再有可能有毒了，但兄又说我的移动硬盘有毒，这是何意？ ………………

如果按你这样说的话。。。怎么病毒那么多。。我都发现了三个独立的病毒群了。。。
这样吧。。你按上面的方法把机清了之后再发一个新贴在论坛然后给别人看看吧。。。

引用:

【关山渡的贴子】非常感谢“已成过去”兄的热情帮助和耐心解答，你给我的短消息等会我会认真看的。 但有一点需要指出，我是将我笔记本上的硬盘拆下，装到我的移动硬盘盒中（移动硬盘盒该不会带毒吧？），然后再在别的“干净”的电脑中格式化，然后用金山杀毒，然后重新分区，但只分了C盘，其他盘待这个硬盘装到我的笔记本上装好系统后再分（这样就能确保这些空间在装好系统之前不会染毒），当我将硬盘装到笔记本后我继续在DOS下再次格式化C盘。 至此，我认为我的这个硬盘不再有可能有毒了，但兄又说我的移动硬盘有毒，这是何意？ ………………

当你将笔记本上的硬盘拆下，装到移动硬盘盒中，再在别的“干净”的电脑中操作时，你那个所谓的“干净”的电脑，肯定已不“干净”了。又或者你一定在本本的新系统安装后使用了其他的曾被感染的文件或移动设备。
只是你自己没注意而已。

否则在格式化并重分区后，绝对不可能还有日志中的这些东西的。

Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

建议你在做完天月哥的解决办法后后，再扫个日志，贴上来看看。

谢谢“已成过去”以及各位热情帮助过我的朋友，
我的又将我的电脑在DOS下格式化各个分区（C、D、E盘），现在看似正常了，现在我将我SREng日志附上，请大家帮忙看看还有问题吗？

附件: 60903720071128112551.txt

有一个百度插件，不太影响。有人说是流氓软件，但见仁见智啦。

一个新系统才装好，为什么非得整个百度的玩意干嘛呢？？？

既然装了卡巴，就去用360清理清理那些百度的东西吧。

以前的病毒倒是都没了。

放心玩吧。

在这里我想顺便问大家两个问题，先谢了。

1、我想关闭自动播放（不如一插入移动存储设备，如：移动硬盘和U盘一连接电脑就立即自动播放和打开），不知道怎么关闭？

2、我每次装完系统，不知道是软件还是网页之间的冲突，我打开一些网站时（如：新浪），我的CPU此时占用很大，达到100%，这怎么处理为好？

第二个问题，在新装系统里，应该不会占用达到影响你使用电脑的。

只要补丁打全，没有恶意软件在你系统里，新系统就不会出这类问题。

第一个问题，去这里看看吧。

http://www.rising.com.cn/Worm_panda/index.htm

认真看，那里有介绍“关闭自动播放“的内容。

我找到了这个网页，
但我的系统是XP的家庭版，不是专业版所以没有办法在““开始”-〉“运行”，输入“gpedit.msc”，确定，打开组策略编辑器。”

还有其他关闭自动播放的办法吗？

关于“关闭自动播放的问题”还请各位大哥多多帮忙解决，先谢了。

关于“关闭自动播放的问题”还请各位大哥多多帮忙解决，先谢了。